BzBook.ru

Обеспечение информационной безопасности бизнеса

Международная система стандартизации.

Международные стандарты по защите информации и обеспечению информационной безопасности организации разрабатываются как в рамках работ 27-го подкомитета СТК 1 ISO/IEC, так и по линии других технических комитетов в плотной кооперации работ с экспертами 27-го подкомитета.

В числе стандартов, принятых в рамках планов работ 27-го подкомитета СТК 1 ISO/IEC, следует отметить такие документ, как:

— ISO/IEC 27000:2009 «Информационные технологии. Методы защиты. Системы менеджмента информационной безопасности. Обзор и словарь»;

— ISO/IEC 27001:2005 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования»;

— ISO/IEC 27002:2005 «Информационные технологии. Свод правил по управлению защитой информации»;

— ISO/IEC 27003 (проект) «Руководство по реализации СМИБ»;

— ISO/IEC 27004 (проект) «Менеджмент информационной безопасности. Измерения»;

— ISO/IEC 27005:2008 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности»;

— ISO/IEC 27006:2007 «Информационные технологии. Методы и средства обеспечения безопасности. Требования к органам, проводящим аудит и сертификацию систем менеджмента информационной безопасности»;

— ISO/IEC 27007 (проект) «Руководства по аудиту СМИБ»;

— ISO/IEC 27008 (проект) «Руководства для аудиторов по аудиту средств контроля СМИБ»;

— ISO/IEC 27010 (проект) «Менеджмент информационной безопасности для межотраслевого взаимодействия»;

— ISO/IEC 27011:2008 «Информационные технологии. Методы и средства обеспечения безопасности. Руководящие указания по менеджменту информационной безопасности организаций, предлагающих телекоммуникационные услуги, на основе ISO/IEC 27002»;

— ISO/IEC 27013 (проект) «Руководство по совместному использованию стандартов ИСО/МЭК 20000-1 и ИСО/МЭК 27001»;

— ISO/IEC 27014 (проект) «Корпоративное управление информационной безопасностью»;

— ISO/IEC 27015 (проект) «Руководства по менеджменту информационной безопасности для финансового сектора и сектора страхования»;

— ISO TR 13569:2005 «Услуги финансовые. Руководящие указания по обеспечению информационной безопасности» (разработан ИСО ТК 68 «Финансовые услуги»);

— ISO/IEC 7064:2003 «Информационные технологии. Методы и средства обеспечения безопасности. Системы контрольных знаков»;

— ISO/IEC 9796 «Информационные технологии. Методы и средства обеспечения безопасности. Схемы цифровой подписи, обеспечивающие восстановление сообщений»;

— ISO/IEC 9797 «Информационные технологии. Методы и средства обеспечения безопасности. Коды аутентификации сообщений (MAC)»;

— ISO/IEC 9798 «Информационные технологии. Методы и средства обеспечения безопасности. Аутентификация объектов»;

— ISO/IEC 10116:2006 «Информационные технологии. Методы и средства обеспечения безопасности. Режимы работы для n-битовых блочных шифров»;

— ISO/IEC 10118 «Информационные технологии. Методы и средства обеспечения безопасности. Хэш-функции»;

— ISO/IEC 11770 «Информационные технологии. Методы и средства обеспечения безопасности. Менеджмент ключей». Включает в себя следующие части: часть 1 «Структура»; часть 2 «Механизмы, использующие симметричные методы»; часть 3 «Механизмы, использующие асимметричные методы»; часть 4 «Механизмы, основанные на нестойких секретах»; часть 5 «Менеджмент групповых ключей»;

— ISO/IEC 13888 «Информационные технологии. Методы и средства обеспечения безопасности. Подтверждение авторства»;

— ISO/IEC 14888 «Информационные технологии. Методы и средства обеспечения безопасности. Цифровые подписи с приложением»;

— ISO/IEC 15946 «Информационные технологии. Методы и средства обеспечения безопасности. Криптографические методы на основе эллиптических кривых»;

— ISO/IEC 18014 «Информационная технология. Методы и средства обеспечения безопасности. Услуги по созданию метки даты/времени»;

— ISO/IEC 18031:2005 «Информационные технологии. Методы и средства обеспечения безопасности. Произвольное генерирование битов»;

— ISO/IEC 18032:2005 «Информационные технологии. Методы и средства обеспечения безопасности. Поколение простых чисел»;

— ISO/IEC 18033 «Информационные технологии. Методы и средства обеспечения безопасности. Алгоритмы шифрования»;

— ISO/IEC 19772:2009 «Информационные технологии. Методы и средства обеспечения безопасности. Установленные криптографические методы»;

— ISO/IEC 29150 (проект) «Информационные технологии. Методы и средства обеспечения безопасности. Шифрование подписи»;

— ISO/IEC 29192 (проект) «Информационные технологии. Методы и средства обеспечения безопасности. Облегченная криптография»;

— ISO/IEC 15292:2001 «Информационные технологии. Методы и средства обеспечения безопасности. Процедуры регистрации профилей защиты»;

— ISO/IEC 15408 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности ИТ». Включает в себя следующие части: часть 1 «Введение и общая модель»; часть 2 «Функциональные требования безопасности»; часть 3 «Требования к обеспечению защиты»;

— ISO/IEC TR 15443-1:2005 «Информационные технологии. Методы и средства обеспечения безопасности. Структура обеспечения доверия в безопасности IT». Включает в себя следующие части: часть 1 «Обзор и структура»; часть 2 «Методы обеспечения доверия»; часть 3 «Анализ методов обеспечения доверия»;

— ISO/IEC TR 15446:2009 «Информационные технологии. Методы и средства обеспечения безопасности. Руководство по разработке профилей защиты и заданий по безопасности»;

— ISO/IEC 18045:2008 «Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности ИТ»;

— ISO/IEC 19790:2006 «Информационные технологии. Методы и средства обеспечения безопасности. Требования к защите применительно к криптографическим модулям»;

— ISO/IEC TR 19791:2006 «Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности эксплуатирующихся систем»;

— ISO/IEC 19792:2009 «Информационные технологии. Методы и средства обеспечения безопасности. Оценка безопасности биометрии»;

— ISO/IEC 21827:2008 «Информационная технология. Методы и средства обеспечения безопасности. Проектирование безопасности систем. Модель зрелости процесса»;

— ISO/IEC 24759:2008 «Информационные технологии. Методы и средства обеспечения безопасности. Требования к тестированию криптографических модулей»;

— ISO/IEC 29128 (проект) «Информационные технологии. Методы и средства обеспечения безопасности. Верификация криптографических протоколов»;

— ISO/IEC 29147 (проект) «Информационные технологии. Методы и средства обеспечения безопасности. Обнаружение значимых уязвимостей»;

— ISO/IEC 29193 (проект) «Информационные технологии. Методы и средства обеспечения безопасности. Принципы и методы инжиниринга безопасности систем»;

— ISO/IEC TR 14516:2002 «Информационные технологии. Методы и средства обеспечения безопасности. Руководящие указания по использованию и управлению службами доверительной третьей стороны»;

— ISO/IEC 15816:2002 «Информационные технологии. Методы и средства обеспечения безопасности. Информационные объекты безопасности для управления доступом»;

— ISO/IEC 15945:2002 Информационные технологии. Методы и средства обеспечения безопасности. Спецификация служб ТТР для поддержки применения электронных подписей;

— ISO/IEC 18028 «Информационная технология. Методы и средства обеспечения безопасности. Сетевая безопасность информационной технологии». Включает в себя следующие части: часть 1 «Менеджмент сетевой технологии»; часть 2 «Архитектура обеспечения безопасности сети»; часть 3 «Коммуникации для обеспечения безопасности между сетями с применением шлюзов безопасности»; часть 4 «Обеспечение безопасности удаленного доступа»; часть 5 «Коммуникации для обеспечения безопасности между сетями с применением виртуальных частных систем»;

— ISO/IEC 18043:2006 «Информационные технологии. Методы и средства обеспечения безопасности. Выбор, применение и операции систем обнаружения вторжения»;

— ISO/IEC TR 18044:2004 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности»;

— ИСО/МЭК 24762:2008 «Информационная технология. Методы и средства обеспечения безопасности. Руководство по услугам по восстановлению информационно-коммуникационных технологий после бедствия»;

— ISO/IEC 27033 «Сетевая безопасность». Включает в себя следующие части: часть 1 «Обзор и общие понятия»; часть 2 «Руководства по разработке и внедрению сетевой безопасности»; часть 3 «Эталонные сетевые сценарии — риски, технологии разработки и вопросы управления»; часть 4 «Обеспечение безопасности межсетевых соединений с применением шлюзов безопасности — риски, технологии разработки и вопросы управления»; часть 5 «Обеспечение безопасности межсетевых коммуникаций с применением виртуальных частных сетей — риски, технологии разработки и вопросы управления»; часть 6 «Совпадение IP-адресов»; часть 7 «Беспроводные коммуникационные технологии»;

— ISO/IEC 27032 (проект) «Информационная технология. Методы и средства обеспечения безопасности. Руководства по кибербезопасности»;

— ISO/IEC 27034 «Безопасность приложений». Включает в себя следующие части: часть 1 «Обзор и общие понятия»; часть 2 «Структура организации нормативного обеспечения»; часть 3 «Процесс менеджмента безопасности приложений»; часть 4 «Подтверждение безопасности приложений»; часть 5 «Структура данных средств управления безопасностью протоколов и приложений»;

— ISO/IEC 27035 (проект) «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности»;

— ISO/IEC 27036 (проект) «Информационная технология. Методы и средства обеспечения безопасности. Руководства по обеспечению безопасности при аутсорсинге»;

— ISO/IEC 27037 (проект) «Информационная технология. Методы и средства обеспечения безопасности. Руководства по идентификации, сбору и /или получению и хранению свидетельств, представленных в цифровой форме»;

— ISO/IEC 24745 (проект) «Информационная технология. Методы и средства обеспечения безопасности. Защита биометрических шаблонов»;

— ISO/IEC 24761:2009 «Информационные технологии. Методы защиты. Контекст аутентификации для применения в биометрических технологиях»;

— ISO/IEC 29100 (проект) «Информационная технология. Методы и средства обеспечения безопасности. Основы обеспечения приватности»;

— ISO / IEC 29101 (проект) «Информационная технология. Методы и средства обеспечения безопасности. Эталонная архитектура обеспечения приватности»;

— ISO/IEC 29115 (проект) «Информационная технология. Методы и средства обеспечения безопасности. Доверие к аутентификационным атрибутам»;

— ISO/IEC 29146 (проект) «Информационная технология. Методы и средства обеспечения безопасности. Основы менеджмента доступа»;

— ISO/IEC 29190 (проект) «Информационная технология. Методы и средства обеспечения безопасности. Модель зрелости возможностей обеспечения приватности»;

— ISO/IEC 29191 (проект) «Информационная технология. Методы и средства обеспечения безопасности. Требования по взаимной анонимности при депонировании идентификационных атрибутов».